Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 257Bug de smart contract

Overflow d'entier Truebit

Truebit a perdu 26,4 M$ : un overflow d'entier dans un contrat bonding curve de 5 ans a laissé l'attaquant minter TRU presque gratis et revendre pour 8 500 ETH.

Date
Victime
Truebit
Chaîne(s)
Ethereum
Statut
Fonds dérobés

Le 8 janvier 2026, le protocole de vérification blockchain Truebit a subi le premier hack crypto majeur de 2026 — environ 26,4 millions de dollars (8 500 ETH) drainés depuis un contrat intelligent fermé vieux de cinq ans via un overflow d'entier dans la tarification de la bonding curve du jeton TRU. Le jeton TRU s'est effondré de 100 % en 24 heures.

Ce qui s'est passé

Truebit avait déployé son contrat de tokenomics environ cinq ans avant l'exploit, à une époque où la protection contre l'overflow d'entier en Solidity devait être implémentée manuellement (Solidity 0.8.0+ rendrait plus tard les vérifications d'overflow automatiques par défaut). Le contrat était closed-source, signifiant que son bytecode était on-chain mais que son source Solidity n'était pas publiquement vérifiable sur Etherscan ou outils similaires — une posture de sécurité qui a obscurci le bug face à des années de scrutin public.

La vulnérabilité était dans la fonction de tarification de la bonding curve pour le jeton TRU. Les bonding curves tarifient les jetons en fonction de l'offre actuelle : plus il y a de TRU en circulation, plus le nouveau TRU est cher à minter (ou acheter). La bonding curve incluait une opération mathématique qui, sous des conditions d'entrée spécifiques, causait l'overflow d'une variable entière — enroulant le prix calculé à une valeur proche de zéro.

L'attaque :

  1. A identifié le déclencheur d'overflow via une analyse du comportement du contrat fermé.
  2. A appelé la fonction de mint avec des entrées déclenchant l'overflow — le contrat a calculé le coût de nouveau TRU comme proche de zéro et minté le TRU demandé à l'attaquant.
  3. A revendu le TRU fraîchement minté au pool de bonding curve — recevant les actifs de réserve du pool (ETH) en échange.
  4. Résultat net : TRU minté effectivement gratuitement ; environ 8 500 ETH (~26,4 M$) reçus en retour.

Conséquences

  • Le prix du jeton TRU s'est effondré de 100 % en 24 heures alors que le marché intégrait à la fois la dilution et l'économie cassée du protocole.
  • Truebit n'avait pas été activement développé depuis des années ; la réponse de l'équipe a été minimale.
  • La nature closed-source du contrat a été largement critiquée comme ayant dissimulé le bug face à la communauté plus large de relecteurs potentiels.
  • Les fonds volés ont été blanchis par les canaux standard.

Pourquoi c'est important

L'incident Truebit est une étude de cas frappante pour ce qui se passe lorsqu'un contrat intelligent déployé survit à la maintenance active de son équipe. Cinq ans, c'est long en DeFi. Le langage Solidity, les pratiques d'audit et les checklists de vulnérabilités connues ont évolué dramatiquement entre 2021 et 2026. Le contrat Truebit qui était de l'ingénierie raisonnable en 2021 — avec protection manuelle contre l'overflow — est devenu de plus en plus vulnérable à mesure que la compréhension des cas limites par l'écosystème plus large s'améliorait, tandis que le contrat lui-même restait figé.

Les leçons structurelles :

  1. Les contrats intelligents closed-source sont un passif de sécurité à long terme. L'argument « l'obscurité réduit la surface d'attaque » est empiriquement faux aux échelles de temps des grands contrats DeFi — les attaquants suffisamment déterminés rétro-ingénieurent le bytecode, tandis que la population plus large de relecteurs white-hat ne peut aider. Le code source vérifié est un positif net pour la survie du protocole.

  2. Les bonding curves sont mathématiquement denses et sujettes à l'overflow. Chaque opération qui met à l'échelle des montants de jetons contre un prix nécessite une attention explicite à la plage. Les vérifications d'overflow Solidity 0.8.0+ aident mais n'éliminent pas le problème pour les contrats qui utilisent explicitement des blocs unchecked ou des patterns pré-0.8.

  3. Les protocoles de longue traîne sont de plus en plus la surface d'attaque de choix. Les grands protocoles DeFi sont audités continuellement ; les contrats dépréciés ou à faible activité conservent souvent une TVL significative tout en perdant la maintenance active. L'asymétrie — attention défensive minimale contre la même sophistication offensive — les rend disproportionnellement attractifs comme cibles.

Les 26,4 M$ de Truebit ont été la première entrée de 2026 dans ce qui va être, selon le récent bilan, une longue ligne d'« exploits de contrats legacy » — des protocoles dont le code a été livré durant l'été DeFi 2020-2021 et n'a jamais reçu l'investissement de maintenance pour suivre le rythme de l'environnement de menace.

Sources & preuves on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-truebit-hack-january-2026
  2. [02]thedefiant.iohttps://thedefiant.io/news/hacks/truebit-hack-first-major-crypto-exploit-of-2026
  3. [03]therecord.mediahttps://therecord.media/26-million-in-crypto-stolen-truebit

Dépôts liés